ट्रान्सफरलोडर मालवेयर

सुरक्षा अनुसन्धानकर्ताहरूले RomCom RAT पछाडि कुख्यात अभिनेताहरू र TransferLoader भनिने मालवेयर लोडर बीचको सम्बन्ध पत्ता लगाइरहेका छन्। जासुसी र ransomware आक्रमणहरू भएका संस्थाहरूलाई लक्षित गर्ने यो अभियानले परिष्कृत प्रविधिहरू र ओभरल्यापिङ पूर्वाधारहरूलाई हाइलाइट गर्दछ जसले नजिकबाट छानबिनको आवश्यकता पर्दछ।

दुई थ्रेट एक्टर क्लस्टरहरू: TA829 र UNK_GreenSec

साइबरसुरक्षा अनुसन्धानकर्ताहरूले ट्रान्सफरलोडर-सम्बन्धित गतिविधिलाई दुई प्राथमिक खतरा अभिनेता समूहहरूलाई श्रेय दिएका छन्:

• TA829, RomCom RAT, CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596, र Void Rabisu जस्ता उपनामहरू अन्तर्गत पनि ट्र्याक गरिएको थियो।
• UNK_GreenSec, समान रणनीतिहरूसँग समानान्तर रूपमा सञ्चालन हुने कम ज्ञात क्लस्टर।

TA829 विशेष गरी यसको हाइब्रिड अपरेशनहरूको लागि उल्लेखनीय छ, जसले जासुसी र आर्थिक रूपमा प्रेरित आक्रमणहरूलाई संयोजन गर्दछ। यो रूस-पङ्क्तिबद्ध समूहले पहिले मोजिला फायरफक्स र माइक्रोसफ्ट विन्डोजमा शून्य-दिनको कमजोरीहरूलाई रोमकम RAT तैनाथ गर्न, उच्च-मूल्यवान विश्वव्यापी संस्थाहरूलाई लक्षित गर्न प्रयोग गरिसकेको छ।

ट्रान्सफरलोडर: मालवेयर अभियानहरूमा उदय र भूमिका

ट्रान्सफरलोडर पहिलो पटक फेब्रुअरी २०२५ मा हेलक्याट र्‍यान्समवेयरको पुन: ब्रान्ड गरिएको संस्करण मोर्फियस र्‍यान्समवेयर समावेश गर्ने अभियानको क्रममा पहिचान गरिएको थियो। मालवेयर एक अज्ञात अमेरिकी-आधारित कानून फर्म विरुद्ध प्रयोग गरिएको थियो। रोमकमको विपरीत, ट्रान्सफरलोडरले मुख्यतया एक गोप्य डेलिभरी संयन्त्रको रूपमा काम गर्दछ, जसले मेटास्प्लोइट र मोर्फियस जस्ता थप दुर्भावनापूर्ण पेलोडहरूको तैनातीलाई सक्षम बनाउँछ।

ट्रान्सफरलोडरको उद्देश्य सरल छ: पत्ता नलाग्ने र थप मालवेयर डेलिभर गर्ने।

REM प्रोक्सी पूर्वाधारको शोषण गर्दै

TA829 र UNK_GreenSec दुवै REM प्रोक्सी सेवाहरूमा भर पर्छन्, जुन प्रायः सम्झौता गरिएका MikroTik राउटरहरूमा होस्ट गरिन्छन्। यी प्रोक्सीहरू दुर्भावनापूर्ण ट्राफिकलाई रुट गर्न प्रयोग गरिन्छ, यसको वास्तविक उत्पत्ति लुकाउन। समूहहरूले यो पूर्वाधार प्रयोग गर्छन्:

• फ्रीमेल सेवाहरू (जस्तै, Gmail, ukr.net) मार्फत फिसिङ इमेलहरू पठाउनुहोस्।
• अपस्ट्रिम गतिविधि लुकाउन ट्राफिक रिले गर्नुहोस्
• नयाँ सिर्जना गरिएका र सम्झौता गरिएका दुवै इमेल खाताहरू प्रयोग गरेर अभियानहरू सुरु गर्नुहोस्।

अनुसन्धानकर्ताहरूले फिसिङ वितरणको लागि ximajazehox333@gmail.com र hannahsilva1978@ukr.net जस्ता प्रेषक ठेगानाहरू सामूहिक रूपमा उत्पन्न गर्ने इमेल निर्माण उपकरणहरूको प्रयोगको शंका गर्छन्।

फिसिङ मेकानिक्स र पेलोड डेलिभरी

दुबै क्लस्टरहरूद्वारा पठाइएका फिसिङ सन्देशहरूमा प्रायः इमेलको मुख्य भाग वा PDF संलग्नकहरूमा इम्बेड गरिएका लिङ्कहरू हुन्छन्। यी लिङ्कहरूमा क्लिक गर्ने पीडितहरू Rebrandly मार्फत रिडायरेक्टहरूको श्रृंखलाको अधीनमा हुन्छन्, अन्ततः नक्कली गुगल ड्राइभ वा माइक्रोसफ्ट वनड्राइभ पृष्ठहरूमा अवतरण हुन्छन्। यी रिडायरेक्टहरूमा निम्न संयन्त्रहरू समावेश छन्:

• स्यान्डबक्स वातावरणहरू बाइपास गर्नुहोस्
• रुचि नभएका प्रणालीहरूलाई फिल्टर गर्नुहोस्
• खतरा समूहको आधारमा फरक-फरक अन्तिम पेलोडहरू डेलिभर गर्नुहोस्

फरक आक्रमण मार्गहरू :

• UNK_GreenSec ले TransferLoader तैनाथ गर्न यो मार्ग प्रयोग गर्दछ।
• TA829 ले लक्ष्यहरूलाई स्लिपस्क्रिन मालवेयरमा रिडिरेक्ट गर्छ

साझा उपकरणहरू र पूर्वाधार

दुबै अभिनेता समूहहरूले ओभरल्यापिङ उपकरणसेटहरू र पूर्वाधार विकल्पहरू प्रदर्शन गर्छन्:

• SSH टनेलहरू स्थापना गर्न PuTTY को PLINK उपयोगिताको प्रयोग
• IPFS (इन्टरप्लानेटरी फाइल सिस्टम) सेवाहरूमा मालिसियस उपयोगिताहरू होस्ट गर्दै
• ट्राफिक फिल्टरिङको लागि गतिशील PHP-आधारित पुनर्निर्देशन अन्त्य बिन्दुहरूको लाभ उठाउँदै

यी साझा विधिहरूले प्रभावकारी रणनीतिहरूको सम्भावित समन्वय वा पारस्परिक अपनाउने सुझाव दिन्छन्।

सामाजिक इन्जिनियरिङ विषयवस्तु र वितरण रणनीतिहरू

ट्रान्सफरलोडरसँग सम्बन्धित अभियानहरूले प्रायः रोजगारीका अवसरका इमेलहरूको रूपमा भेष बदल्छन्, पीडितहरूलाई PDF रिजुमेहरूमा लैजाने दाबी गर्ने लिङ्कहरू देखाउँछन्। वास्तवमा, लिङ्कले IPFS वेबशेयरहरूमा होस्ट गरिएको ट्रान्सफरलोडरको डाउनलोडलाई ट्रिगर गर्छ।

ट्रान्सफरलोडर सञ्चालनका प्रमुख प्राविधिक विशेषताहरू

पत्ता लगाउनबाट बच्ने - परम्परागत प्रतिरक्षाहरूलाई बाइपास गर्न पुनर्निर्देशन, फिल्टरिङ, र विकेन्द्रीकृत होस्टिंग प्रयोग गर्दछ।

पेलोड डेलिभरी - ransomware र रिमोट एक्सेस उपकरणहरू सहित थप खतरनाक मालवेयरको लागि लोडरको रूपमा काम गर्दछ।

विभेदित प्रविधिहरू - गतिशील सामग्री डेलिभरीलाई समर्थन गर्न अद्वितीय रिडिरेक्ट संरचनाहरू (जाभास्क्रिप्ट देखि PHP अन्त्य बिन्दुहरू) प्रयोग गर्दछ।

निष्कर्ष: ट्रान्सफरलोडर खतरा बुझ्ने

ट्रान्सफरलोडरले उच्च-प्रभावकारी आक्रमणहरू सक्षम पार्न सक्ने स्टिल्थी लोडरको रूपमा एक महत्त्वपूर्ण खतरालाई प्रतिनिधित्व गर्दछ। UNK_GreenSec र TA829 दुवै द्वारा यसको प्रयोगले साइबर अपराध समूहहरूले कसरी पत्ता लगाउनबाट बच्न र आफ्ना लक्ष्यहरू प्राप्त गर्न नवप्रवर्तन, उपकरणहरू साझा गर्न र विकेन्द्रीकृत पूर्वाधारको शोषण गर्न जारी राख्छन् भन्ने कुरा चित्रण गर्दछ।

ट्रान्सफरलोडर खतराका सूचकहरू समावेश छन्:

• REM प्रोक्सी सेवाहरूको प्रयोग
• जागिरका आवेदनहरू वा बायोडाटाहरू सन्दर्भ गर्न इमेल प्रलोभन दिन्छ
• रिब्रान्डली लिङ्कहरू समावेश गर्ने रिडिरेक्ट चेनहरू
• IPFS-आधारित प्लेटफर्महरूमा होस्ट गरिएका पेलोडहरू

संस्थाहरूले सतर्क रहनुपर्छ, बलियो इमेल र वेब फिल्टरिङ लागू गर्नुपर्छ, र यी रणनीतिहरूसँग जोडिएको असामान्य नेटवर्क व्यवहारको लागि निरन्तर निगरानी गर्नुपर्छ।